Conceptos
Generales
Conceptos Generales
DRP
• PLAN DE RECUPERACIÓN DE DESASTRES: Estrategias
definidas para asegurar la reanudación oportuna y
ordenada de los servicios informáticos críticos en caso de contingencia.
BCP
• PLAN DE CONTINUIDAD DEL NEGOCIO: Conjunto de
procedimientos y estrategias definidos para asegurar la
reanudación oportuna y ordenada de los procesos de
negocio generando un impacto mínimo ante un incidente.
BCM
• ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO:
Proceso administrativo completo que identifica impactos potenciales que puedan afectar a la organización. Provee la estructura para dar flexibilidad y respuestas efectivas para salvaguardar los intereses de la organización.
Conceptos Generales
Un DRP responderá a…
• Existen respaldos de la información?
• Los sistemas de información son de alta
disponibilidad?
• Existen centros de datos alternos?
• Están documentadas las estrategias de
recuperación de los sistemas de
información?
Conceptos Generales
Un programa de BCP responderá a…
• Qué es un desastre?
• Cuál es el impacto asociado?
• Cuánta pérdida puede ser tolerada?
• Cuáles son las alternativas?
• Cómo restablecer las funciones del
negocio/servicio?
• Cuánto costará un plan de recuperación?
• Cuánto es suficiente?
Objetivos BCM (I)
•
Proteger al personal
y los activos
corporativos
•
Asegurar la continuidad de las operaciones
•
Garantizar la reanudación de los procesos
críticos dentro de los márgenes de tiempo
tolerables
•
Minimizar el proceso de toma de
decisiones durante una contingencia
Conceptos Generales
Integrales con proveedores
Objetivos BCM (II)
•
Reducir los
efectos negativos
ocasionados por
el caos
•
Cumplir con requerimientos
Legales
/Contractuales /Gubernamentales
•
Eliminar la necesidad de desarrollar
nuevos
procedimientos
durante la contingencia
•
Minimizar la posibilidad de
pérdida de
información crítica
para el negocio
•
Mantener el
servicio al cliente
Conceptos Generales
Integrales con proveedores
“…
la resiliencia [es] la capacidad humana
de hacer frente a las adversidades de la
vida, superarlas y salir de ellas
fortalecido e, incluso, transformado
”
Comunicaciones
Seguridad
Rec
.Humanos
Conocimiento
Tecnología
Operaciones
Calidad
Rec. Desastres
Conceptos Generales
Resiliencia Organizacional
Finanzas
Emergencias
Por dónde
comienzo?
Evaluación de riesgos Análisis de impacto Estrategias de recuperación Desarrollo del Plan Actualización del Plan Coordinación con autoridades externas Pruebas y ejercicios Sensibilización y capacitación Comunicación de crisisConceptos Generales
“…plans are useless but planning is essential”
Dwight D. Eisenhower
“…los planes son inútiles, pero la planeación es esencial”
Dwight D. Eisenhower
Mejores prácticas y lineamientos
aplicables
País origen Metodología Estándar Guía Desarrollada
por: Propósito Fecha
USA Professional Practices for BusinesssContinuity Management
Disaster Recovery Institute (DRII)
Lineamientos. 10 Prácticas Profesionales
para gestionar la continuidad del negocio. 2003
USA
NFPA-1600. Standard on
Disaster/Emergency Management and Business Continuity Programs
National Fire Protection Association (NFPA)
Lineamientos para manejo de programas de atención de emergencias, atención de
desastres y programas de continuidad del negocio.
2004
Basilea BASEL - High level principles for
business continuity
Bank for International Settlements (BIS)
Principios para apoyar entidades del sector financiero en la gestión de continuidad del negocio con miras a mejorar la resiliencia del sector financiero. 2006 UK BS25999 Business Continuity Management British Standards Institute (BSI)
Estándares para desarrolar y gestionar programas de continuidad de negocios. Parte 1: Código de práctica
Parte 2: Especificaciones
2006 2007
USA
ISO 22399:2007. Societal security-Guideline for incident preparedness and operational continuity
management.
International Organization for Standardization ISO
Principios y elementos para desarrollo e implementación de programas de atención de incidentes y continuidad operacional en las organizaciones.
2007
Mejores prácticas
1. Inicio y Administración del Proyecto 2. Evaluación y Control de Riesgo
3. Análisis de Impacto del Negocio (BIA)
4. Selección y Desarrollo de Estrategias de Continuidad 5. Respuesta y Operaciones de Emergencia
6. Desarrollo e Implementación Planes de Continuidad 7. Programas de Concientización y Entrenamiento
8. Prueba, Ejercitación y Mantenimiento de los Planes de Continuidad
9. Comunicación de Crisis
10.Coordinación con Autoridades Públicas 1. Regulaciones
2. Evaluación de riesgos 3. Prevención de incidentes 4. Mitigación
5. Logística y administración de recursos 6. Ayuda y asistencia 7. Planeación 8. Administración de incidentes 9. Comunicaciones 10.Procedimientos operacionales 11.Entrenamiento
12.Ejercicios, evaluaciones y acciones correctivas 13.Comunicación de crisis
14.Finanzas y administración del programa
Principios:
1. Soporte y responsabilidad de la alta gerencia
2. Manejo de interrupciones importates en la operatividad 3. Objetivos de recuperación
4. Comunicaciones internas y externas 5. Comunicaciones globales
6. Pruebas
7. Revisiones de BCM por autoridades financieras
Implementar y mantener un sistema de gestión de continuidad del negocio (BCMS):
1. Entender la organización
2. Determinar las estrategias de continuidad del negocio 3. Desarrollar e implementar las estrategias
4. Ejercitar y mantener el BCMS 5. Monitorear y revisar el BCMS
6. Integrar BCM en la cultura organizacional 1. Entender la organización
2. Definir política de cumplimiento 3. Planeación
4. Implementación y operación 5. Seguimiento
Mejores prácticas
País origen Metodología Estándar Guía Desarrolladapor: Propósito Fecha
Colombia
GTC 176. Guía técnica colombiana. Sistema de Continuidad de Negocio
ICONTEC Lineamientos para la gestión de continuidad
del negocio. Enfocada en gestión de procesos. 2008
1. Principios
2. Sistema de gestión de la continuidad del negocio 3. Gestión del riesgo
4. Análisis de impacto
5. Estrategias de continuidad
6. Desarrollo de los planes de continuidad 7. Manejo de crisis
8. Gestión de competencias para la continuidad del negocio
9. Mantenimiento y actualización del sistema de gestión de la continuidad del negocio
Regulaciones que incluyen BCP
País origen Metodología Estándar GuíaDesarrollada por: Propósito Fecha
UK ISO27001. InformationSecurity Management British StandardsInstitute (BSI)
Estándares para el desarrollo, implementación, operación, seguimiento, revisión,
mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI).
A.14 Gestión de la Continuidad del Negocio
2005
UK
ITIL. IT Infrastructure Library’s Service Delivery Management practices
Office of Governement Commerce
Lineamientos para mantener la continuidad de
servicios de tecnología. 2007
Colombia SARO SuperFinanciera
Reglas relativas a la administración del riesgo operativo.
3.1.3.1 Administración de la continuidad del negocio
2006
Colombia Circular 052 SuperFinanciera
3.2.3 Exigir que los terceros dispongan de planes de contingencia y de continuidad debidamente documentados
Proceso metodológico
según BS25999
Entender la organización Estrategias de continuidad Desarrollo e implementación de respuestas Probar, mantener y revisar Programa de Administración de Continuidad del Negocio
Cultura organizacional
Entender la organización Estrategias de continuidad Desarr ollo e implem entació n de respue stas Probar, mantener y revisar Programa de Administración de Continuidad del Negocio
Metodología
•
Política de continuidad
•
Gobernabilidad
•
Implementación del
programa
•
Identificar:
– Objetivos organizacionales – Factores ambientales – Procesos críticos (interdependencias) – Análisis de riesgos– Análisis de impacto del Negocio (BIA)
• Tiempos de Recuperación (RTO)
• Pérdida de información (RPO)
• Acuerdos de servicio
• Recursos mínimos para operar
Metodología
Riesgo
•
“Evento que pude ocasionar un daño
en un
activo
”
•
Se valora como una función del
impacto, amenaza, vulnerabilidad
y
probabilidad
Metodología
Entender la organización(Análisis de riesgos)
Impacto
Consecuencias para el negocio dado el daño al
activo.
Ejemplos:
–
Financiero
–
Imagen
–
Continuidad
–
Integridad de personas
–
Clientes…
•
Dificultad de cálculo exacto.
–
Definir y seleccionar una escala de
impactos
Metodología
Entender la organizaciónAmenaza
•
Declaración intencionada de infligir un
daño
–
Robo, virus, acceso no autorizado
•
Potencial de que un incidente no
deseado pueda producir daños a la
información
–
Humano: falta de personal, error de
operación…
–
Técnico: fallo de equipos
•
Desastre natural, intencional o
accidental:
–
Inundación, terremoto, incendio…
Metodología
Entender la organizaciónVulnerabilidad
Debilidad de un activo que puede ser
explotada por una amenaza para
materializar una agresión sobre dicho
activo:
–
Falta de control de acceso
–
Equipos en lugares inadecuados
–
Cables desprotegidos
–
Falta de personal clave
–
Mantenimiento inexistente
–
Puertas abiertas
–
Personal no capacitado
Metodología
Una vulnerabilidad, por sí misma, no produce daños. Es una condición para que la amenaza afecte al activo.
Entender la organización (Análisis de riesgos)
Probabilidad
Cifra que expresa el grado de que un
hecho sea absolutamente seguro de que
ocurra o no.
Se expresa:
– Cualitativamente : Bajo, Moderado, Alto, Extremo
–Cuantitativamente: 0 - 1
Metodología
Entender la organizaciónMetodología
Riesgo es la materialización de una amenaza
aprovechando la vulnerabilidad de un activo
Impacto
¿Cuál es el impacto al negocio?
Probabilidad
¿Qué tan probable es la
amenaza dados los controles?
Activo
¿Qué trata de proteger?
Amenaza
¿Qué teme que suceda? Vulnerabilidad ¿Cómo puede ocurrir la amenaza? Mitigación ¿Cómo se reduce actualmente el riesgo? Entender la organización (Análisis de riesgos)
Estándar AS/NZS 4360
1.
Establecerel Contexto
2. Identificar Riesgos 3. Analizar Riesgos4. Evaluar Riesgos
5.Tratar Riesgos Monitorizar y Revisar Comunicar y consultar Entender la organización (Análisis de riesgos)Metodología
Establecer el contexto
Entender la organización (Análisis de riesgos)Metodología
•
Estratégico
•
Organizacional
•
Administración de riesgos
•
Criterios
•
Estructura
Identificar Riesgos
Entender la organización (Análisis de riesgos)
Metodología
Qué puede suceder? Cómo puede suceder?
Analizar Riesgos
Entender la organización (Análisis de riesgos)
Metodología
Nivel Descriptor Ejemplo
1 Insignificante Sin perjuicios, baja pérdida financiera 2 Menor Tratamiento de primeros auxilios,
liberado localmente, pérdida financiera media
3 Moderado Requiere tratamiento médico, pérdida financiera alta
4 Mayor Perjuicios extensivos sin efectos nocivos, pérdida financiera mayor 5 Catastrófico Muerte, efectos nocivos, enorme
pérdida financiera
Analizar Riesgos
Entender la organización (Análisis de riesgos)
Metodología
Nivel Descriptor Descripción
A Casi certeza Se espera que ocurra en la mayoría de las circunstancias
B Probable Probablemente ocurrirá en la mayoría de las circunstancias
C Posible Podría ocurrir en algún momento D Improbable Podría ocurrir en algún momento E Raro Puede ocurrir solo en circunstancias
excepcionales
Analizar Riesgos
Entender la organización (Análisis de riesgos)
Metodología
Matriz de análisis de riesgo cualitativo
Probabilidad Impacto Insignif. 1 Menores 2 Moderadas 3 Mayores 4 Catastróficas 5 A (casi certeza) H H E E E B (probable) M H H E E C (moderado) L M H E E D (improbable) L L M H E E (raro) L L M H H L: Bajo M: Moderado H: Alto E: Extremo
Evaluar riesgos
Entender la organización (Análisis de riesgos)
Metodología
•
Comparar contra criterios
•
Establecer prioridades de riesgos
•
Decidir entre aceptación o tratamiento
de riesgos
Tratar riesgos
Entender la organización (Análisis de riesgos)Metodología
Probabilidad Impact Tolerar Tratar Transferir TerminarMonitorizar y revisar
Entender la organización (Análisis de riesgos)
Metodología
Comunicar y consultar
•
Condiciones cambiantes exigen
seguimiento permanente
•
Actualización
•
Plan de comunicaciones
Metodología
Entender la organización (BIA)•
Identificar:
– Objetivos organizacionales – Factores ambientales – Procesos críticos (interdependencias) – Análisis de riesgos– Análisis de impacto del Negocio (BIA)
• Tiempos de Recuperación (RTO)
• Pérdida de información (RPO)
• Acuerdos de servicio
BIA (Análisis de Impacto del Negocio)
–
Identificar procesos críticos
–
Valorar impacto en procesos críticos
• Cualitativo / Cuantitativo
–
Determinar tiempos objetivos de recuperación
–
Priorizar procesos para su recuperación
–
Determinar los recursos mínimos de recuperación
–
Identificar previamente estrategias
Metodología
Entender la organización¾
Cuantitativo
¾Valor aceptable de la pérdida
¾Volumen promedio de operaciones ¾Operaciones en día crítico
¾Penalidades y multas
¾
Cualitativo
¾Descripción del impacto de la NO disponibilidad ¾Reconstrucción de imagen y credibilidad
Metodología
Valoración de Impacto
Impacto
Empleados Público en general Información Cumplimiento Reputación Financiero Calidad de servicios Ambiente Entender la organización (BIA)
Procesos vs. SI SI1 SI2 SI3 SI4 SI5 SI6 SI7 Facturación X X X Cartera X X X Pagos X X X Administración de citas médicas X X Adquisición medicamentos X X X
Metodología
Análisis de impacto de aplicaciones
Entender la organización (BIA)
Tiempos y puntos objetivos de recuperación
Metodología
Punto de Recuperación Tiempo de Recuperación
Sem Días Hrs Min Seg Seg Min Hrs Días Sem
Punto Objetivo de Recuperación (RPO)
Qué tan actualizados necesitan estar los datos?
Tiempo Objetivo de Recuperación (RTO) Cuál es la tolerancia a la no disponibilidad? Entender la organización (BIA)
•
Requerimientos mínimos
aceptables
–
Ventanas de recuperación
–
Información
–
Recurso humano
–
Documentos
–
Instalaciones
Metodología
Entender la organización (BIA)•
Recurso humano
•
Tecnología
•
Información vital
•
Proveedores
•
Socios de negocio
Metodología
Estrategias de continuidad•
Recurso humano
–
Mantener habilidades
y conocimiento
–
Segregación de
actividades críticas
–
Sitios alternos
–
Acceso remoto
Estrategias de continuidadMetodología
•
Tecnología
–
Elementos por
considerar:
•
Hardware
•
Software
•
Telecomunicaciones
•
Backup y recuperación
Estrategias de continuidadMetodología
Las cintas del backup están dentro del
Tecnología
• Tolerancia a fallos (fault tolerance)
– Un sistema tolerante a fallos puede continuar brindado servicios a pesar de fallas de hardware.
• Balanceo de carga (load balancing)
– Sistemas que comparten la carga de trabajo para evitar recursos ociosos y bajo desempeño.
• Alta Disponibilidad (high availability)
– Sistema que es continuamente operacional, mediante la
implementación de controles
preventivos, detectivos y correctivos.
• Virtualización
– Abstracción de recursos computacionales
Estrategias de continuidad
Metodología
Disponibilidad Tiempo abajo
90% 52,560 min/año=36,5 días/año 99% 5,256 min/año=3,65 días/año 99,9% 526 min/año=8,76 horas/año 99,99% 52,56 min/año 99,999% 5,26 min/año 99,9999% 30 seg/año
Máquina Virtual 4 Máquina Virtual 3 Máquina Virtual 2 Máquina Virtual 1 VM2.vmx SCSI0-0.vmdk SCSI0-1.vmdk Estrategias de continuidad (Virtualización)
Metodología
•
Tecnología
–
Centros de cómputo
•
Distancia
•
Número
•
Acceso remoto
•
Comunicación
redundante
•
Acuerdos de servicio
(SLA)
•
Seguridad
Estrategias de continuidadMetodología
Restauración Recuperación Reanudación Respuesta PrevenciónEstrategias de continuidad
Metodología
Nivel I Nivel II Nivel III Nivel IV
Tipo de edificio
Compartido Compartido Independiente Independiente
Personal Ninguno 1 turno > 1 turno 7x24
Caminos de acceso
Solo 1 Solo 1 1 activo
1 pasivo 2 activos Redundancia N N+1 N+1 2(N+1) Climatización ininterrumpida No No Puede ser Sí Puntos únicos de fallo Muchos + error humano Muchos + error humano Varios + error humano Ninguno + error humano Disponibilidad 99.671% 99.794% 99.982% 99.995% Meses para implementar 3 3-6 15-20 15-20
Clasificación según Uptime Institute
•
Tecnología
–
Alternativas de
recuperación
•
Sitios de recuperación
externos (hot site, cold
site, warm site)
•
Recuperación interna
•
Acuerdos recíprocos
•
Procedimientos
manuales
•
Suspensión de
servicios
Estrategias de continuidadMetodología
Punto de Recuperación (RPO) Tiempo de Recuperación (RTO)
Sem Días Hrs Min Seg Seg Min Hrs Días Sem
Cintas de respaldo
Replicación asíncrona
Replicación
síncrona Warm site
Cold site
Acuerdos de respaldo Hot site
•
Información vital
–
Almacenamiento y
recuperación
–
Confidencialidad
–
Integridad
–
Disponibilidad
–
Actualizada
–
Físico/Digital
Estrategias de continuidadMetodología
•
Proveedores/Socios
de Negocios
–
Dependencias
–
Coordinación
–
Verificación del plan
–
Pruebas
–
Políticas
Estrategias de continuidad
•
Implementación de
planes de continuidad
•
Respuesta a la
emergencia
•
Respuesta a
incidentes de
seguridad
Metodología
Implementación de respuestas•
Implementación de
planes
–
Equipos de trabajo
•
Reanudación
•
Recuperación
–
Controles
–
Seguridad
–
Inventarios
–
Recursos
Metodología
Implementación de respuestasBCP
Qué?
Quién?
Cuándo?
Dónde?
Cómo?
•
Respuesta a la
emergencia
–
Salvamento de vidas
–
Sistema de prevención
y atención de
emergencias
–
Sistemas de
protección
–
Autoridades locales
–
Simulacros
Metodología
Implementación de respuestasMetodología
Implementación de respuestas
Pre-planear Responder/Estabilizar/Mitigar/Manejar Recuperar/Normal
Manejo de respuesta de Emer gencia Pública Salvamento de vidas Protección de Propiedad Seguridad Física Tecnología Recuperar – R estaurar -R eanudar
Normal Evento - Respuesta Recuperación Normal
Identificar Definir Categorizar
Escalar Notificar
Metodología
Probar, mantener y revisar
“
Escucho y olvido;
veo y recuerdo;
hago y entiendo.
“
•
Pruebas
•
Mantenimiento
–
Planes
–
Programa
•
Revisión
Metodología
•
Pruebas
–
Notificación
–
Salvamento
–
Coordinación con
autoridades
–
Estrategias
•
Tecnológicas
•
Operativas
Metodología
Metodología
Probar, mantener y revisar
Complejidad Prueba Objetivo Variantes Frecuencia
Simple Escritorio -simulación Revisión contenido BCP
Act./Validar Auditoría Verificación Involucrar roles Trimestral Semestral Anual
Media Ejercicio parcial Situación controlada que no impacte la operación normal
Operaciones críticas en sitio alterno (anunciadas-sorpresa) Semestral Alta Ejercicio de todo el plan Evacuación Activación de contingencias tecnológicas y operativas Involucrar proveedores (anunciadas-sorpresa) Semestral
•
Tipos de pruebas
Metodología
Probar, mantener y revisar
Horarios
no hábiles
.
Horarios hábiles con
todos los clientes
.
Día
Æ
Semana
Æ
Varias semanas.
Alternar
producción & contingencia
.
Horarios no hábiles con
grupos de clientes
.
Metodología
Metodología
•
Mantenimiento
–
Actualización
–
Registro
–
Distribución
–
Criterios de revisión
Metodología
Metodología
Probar, mantener y revisar
Metodología
Probar, mantener y revisar
Modelo de Madurez
Analogía del atleta
Nivel 1 •Capacidad para avanzar lentamente Nivel 2 •Capacidad para caminar Nivel 3 •Capacidad para correr Nivel 4 •Apto para correr Nivel 5 •Corredor competitivo Nivel 6 •Corredor olímpico
Organización en riesgo Ejecutor competente Mejor de la clase
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Liderazgo
Es el compromiso y entendimiento demostrado por la Alta Gerencia con respecto a la implantación, en toda la compañía y de manera escalada del programa de continuidad
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Conciencia
El personal de la organización en todos los niveles, conoce y entiende la importancia de la continuidad del negocio.
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Estructura
Definición del programa de
continuidad del negocio con roles y responsabilidades claras. (Nivel y calidad de implementación)
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Penetración
Nivel de coordinación de la
continuidad del negocio existente entre las unidades de negocio. Las áreas incorporan iniciativas.
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Métricas
Identificación, medición y reporte frecuente de indicadores
cuantificables para monitorear el rendimiento del programa de continuidad.
Permiten medir el cumplimiento de objetivos establecidos.
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Recursos
Disponibilidad de recursos humanos y financieros
necesarios para asegurar el sostenimiento del programa
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Coordinación
Socios de negocio Autoridades locales Gobierno
Liderazgo Conciencia Estructura Penetración Métricas Recursos Coordinación Contenido
Competencias
Metodología
Probar, mantener y revisar
Contenido
Actualización
Mejora permanente Calidad
•
Sensibilización
•
Desarrollo de
competencias
•
Entrenamiento
•
Aprender de la
experiencia
•
Incluir a proveedores y
socios de negocio
•
Inducción a nuevos
empleados
Metodología
Cultura OrganizacionalMetodología
En síntesis….
Planeación de la Continuidad del Negocio Pruebas – Mejora continua
Entrenamiento Mantenimiento Aseguramiento de la Calidad
Planes Equipos Tareas
BIA Responsabilidades Estrategias
Alcance Políticas Propósito
Objetivos Supuestos